大家好,现在用XO引擎的比较多了,但是XO引擎有一个严重的漏洞,今天站长给大家说说修复这个问题,请放入你的网站WWW目录替换以前的文件你好啊
不要乱来哦
XO引擎php更新文件存在SQL注入漏洞,利用此漏洞可完全控制数据库进行一系列操作,如(刷装备,刷元宝,删账号,删数据库等等)条件允许的情况下还能获取***权限。这是干扰码
aypgzqralvodgrgbhyqjhdkzivrfkqsgdpmly
sudjemotcvvroovmitsaotcjbhpdyfqoxrtuaulkrbje
1、由于platform参数及platfromsys参数,在传入数据库查询前,没有经过任何过滤,攻击者可构造特殊语句获取数据库权限aypgzqralvodgrgbhyqjhdkzivrfkqsgdpmly
哈哈
2、 部分演示截图,成功获取到XO引擎mysql数据库权限哈哈
rcvgeyoxeqrymnxwbwhholvaoxxinmebdkj
3、修复后验证,成功修复,无注入漏洞rovfcvhpovmoe
ygzrzvvqsvxrxuexrzzo
nccenwummcebkqabgszcvhfuztsferzvujidokixss
ygzrzvvqsvxrxuexrzzo
aypgzqralvodgrgbhyqjhdkzivrfkqsgdpmly
不影响正文阅读这是干扰码
这是干扰码
jrddpzjpfory
不影响正文阅读 不要乱来哦
| 
发表于 2022-10-20 21:26:33
发表于 2022-10-23 01:59:14